モジラは1日、Webブラウザ「Firefox」の最新版「50.0.2」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。4段階評価で最も高い重要度「最高」の脆弱性1件が修正されている。
修正された脆弱性は、SVGアニメーション(※1)で解放したメモリーにアクセスしてしまう問題。悪用されると任意のコードを実行されるおそれがあり、Windows版のFirefoxとTorブラウザ(※2)を狙った攻撃コードが出回っていた。
Firefoxの最新版は自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。
デスクトップ版Firefoxの手動更新は、Windowsではメニューボタン「≡」をクリック→下段のヘルプボタン「?」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。macOSおよびOS Xでは、Firefoxメニューの[Firefoxについて]を選択する。
Androidでは、Firefoxのメニューから[設定]→[Mozilla Firefox]→[Firefoxについて]→[更新を確認]の順にタップする。または、「Google Play」の「マイアプリ&ゲーム」で、「インストール済みのアプリ」を表示する。
自動や手動で更新した最新版は、ブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。
今回修正した脆弱性は、法人向けの延長サポート版(Firefox ESR)およびメールソフトのThunderbirdにも影響があり、問題を修正した「45.5.1」がそれぞれ公開されている。
(※1)SVGアニメーション:拡大しても輪郭がギザギザにならないベクター形式の画像の標準規格「SVG(Scalabe Vector Graphics)」を使用したアニメーション。
(※2)Torブラウザ:何台ものサーバーを経由して接続し接続情報を秘匿することにより、アクセス元のIPアドレスを隠す匿名の通信システム「Tor(The Onion Router~トーア)」 を使って閲覧する、Firefoxベースのブラウザ。
(2016/12/01 ネットセキュリティニュース)
【関連URL:モジラ】
<リリースノート>
Firefox 50.0.2(デスクトップ版)
https://www.mozilla.jp/firefox/50.0.2/releasenotes/
・Firefox 50.0.2(Android版)
https://www.mozilla.jp/firefox/android/50.0.2/releasenotes/
・Firefox ESR 45.5.1
https://www.mozilla.jp/firefox/45.5.1/releasenotes/
・Thunderbird 45.5.1
https://www.mozilla.org/ja/thunderbird/45.5.1/releasenotes/
<セキュリティアドバイザリ>
・MSFA2016-92:SVG アニメーションを通じたFirefox上でのリモードコード実行
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-92.html
<公式ブログ>
・Fixing an SVG Animation Vulnerability[英文](Mozilla Security Blog)
https://blog.mozilla.org/security/2016/11/30/fixing-an-svg-animation-vulnerability/